Crear un sitio web seguro

Ya hay muchos artículos sobre la creación de sitios web, así que no lo voy a hacer de nuevo.

Pero me enfocaré hoy hoy en la creación de un sitio web seguro, y este tipo de tutorial hace realmente existe.

Tomar el siguiente orden lógico:

1. Crear un sitio web No está mal.

2. Si el sitio tiene un buen diseño es bueno.

3. Si el sitio está optimizado en el lado de referencia es muy bueno.

4. Si además, el sitio está seguro, es perfecto.

Vamos aquí. Aquí se centran en la última parte.

Voy a escribir esto Artículo en forma de recursos para seguir y nota para volver allí más tarde, pero no tomaré toda la creación de un sitio en los detalles.

Si este último punto te interesa, dime y haré un Artículo diferente, más específico.

¿Cómo crear un sitio web seguro?

Comencemos con el principio, para crear un sitio web, ya es necesario para acomodar y un nombre de dominio.

No hablaremos sobre el nombre de dominio porque no será una seguridad lateral muy útil.

Hay dos posibilidades para alojamiento, o se comparte, o está dedicado.

Hosting mutuo es un alojamiento en un servidor común, por lo que está en el mismo servidor que otras personas.

Este es, por ejemplo, varios sitios que están en el mismo servidor (la dirección IP es Lo mismo para cada uno de ellos, pero Los propietarios son diferentes):

Las ventajas de los alojamientos compartidos son:

  • precio.
  • la facilidad de implementación.
  • La seguridad del servidor administrado por los administradores de seguridad de la compañía que le proporcionan el servicio.

Las desventajas son:

  • Poca flexibilidad.
  • Compartir recursos entre sitios alojados.

El alojamiento dedicado es un alojamiento en una Servidor que pertenece solo a usted. Por lo tanto, usted es el único propietario de esta dirección IP.

por 20 € por mes Usted obtiene un 8 núcleos con 16 GB de RAM, suficiente para satisfacer todas sus necesidades sin problemas.

Pequeño Nota por cierto: si un ex propietario sostuvo su servidor antes de usted y que ahora usted es el propietario, aún puede existir rastros de la actividad anterior.

El ejemplo típico es el servidor de correo (servidor que es usado únicamente para enviar correos electrónicos): si el antiguo propietario rematado con el servidor, por lo que siempre tendrá su servidor en las listas negras.

Este caso aún es raro y siempre es posible ponerse en contacto con el Los gerentes de estas listas, demostrando que el propietario ha cambiado.

Los beneficios de los alojamientos dedicados son:

  • flexibilidad, usted posee y haga lo que desea con todo el servidor.
  • velocidad, todos los recursos que suenan T reservado.

Las desventajas son:

  • seguridad para manejarte a ti mismo.
  • precio.

Cuando digo que la seguridad es manejarte a ti mismo, no siempre es del 100%. De hecho, algunos anfitriones aún proponen protecciones mínimas, como la protección anti-DDOS de OVH, así como otros servicios, como la presencia de técnicos listos para actuar rápidamente.

a partir de ahora, ya sea que empiezas y eliges el compartido Hosting, ya sea que se sienta listo y desea migrar a un servidor más rápido que administrará la seguridad usted mismo. Por lo tanto, está preocupado por el siguiente párrafo. Si está en el segundo caso, de lo contrario puede Vaya directamente a la parte «Creación del sitio».

Seguridad dedicada del servidor

La seguridad de un servidor requiere un libro completo solo, no hablaré de ello en detalle en este Artículo.

Saber que los principios básicos son:

Eliminar servicios no útiles

Muchos ataques se basan en vulnerabilidades contenidas en los servicios.

Un servicio es una aplicación que está convirtiendo constantemente en PLA n y esperando para realizar tareas, como su antivirus en su PC personal.

Admitimos un servicio para la impresora de red que contiene una falla. Este servicio escucha los puertos.

Es posible que un truco busque una máquina en busca de todos los puertos abiertos y, por lo tanto, acceda a nuestra impresora para explotar la falla. Resultado: ingresa al servidor.

Para escanear sus puertos, puede usar este comando nmap:

  sudo nmap -t agresivo -a -v 127.0.0.1 -p 1 -65000  

PRECAUCIÓN: Escanee los puertos de una máquina que no pertenece a usted es ilegal, se le advierte. Por lo tanto, los servicios no utilizados o vulnerables deben estar desactivados.

Aquí también es un script bash para los conocedores que actúan como un firewall para bloquear todos los puertos, excepto los de los básicos (80, 22, 53, etc.):

acceso El servidor local

o al menos use conexiones cifradas.

Cada vez que se comunique con su servidor, los datos transmitidos se pueden recuperar. Captura de contraseña de muestra con Wireshark.

Si no se conecta localmente en el propio servidor, así que evite conexiones desapercibidas como HTTP, FTP, Telnet. Y prefiera conexiones cifradas como HTTPS, SFTP (FTP segura) y SSH (Shell seguro).

También puede usar PGP / GPG para el cifrado de comunicaciones.

Instale los parches de seguridad y actualizaciones

Ni siquiera un mes, se acaba de encontrar un error en el núcleo de Linux que data de hace cinco años. Este error hace posible ejecutar código malicioso o bloquear el sistema.

ver: http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2022-0196

Este pequeño ejemplo es suficiente para decir que las lagunas de seguridad se descubren diariamente, no solo fallas pequeñas sin peligros. Por lo tanto, es esencial actualizar su sistema y sus servicios lo antes posible.

HeartBleed es también un buen ejemplo del hecho de que incluso en los servicios que sean muy seguros, hay fallas.

Administrar cuentas de usuario

Cada usuario debe tener derechos específicos y restringidos a una carpeta personal.

También le recomendamos que no se conecte a la raíz, pero con una cuenta restringida y tenga cuidado al ejecutar comandos con privilegios de administrador.

Cada administrador debe tener su propia cuenta, cada nombre de usuario básico debe ser renombrado, y estas cuentas, por supuesto, no deben compartirse.

Revise los registros

Los registros contienen mucha información sobre problemas y acceso fallidos. Puede usar utilidades como Fail2ban para escanear y prohibir automáticamente los atacantes potenciales o registrar los registros manualmente.

Aquí están los directorios de registros principales:

  1. / var / log / mensaje: sistema Registros y actividad actual.
  2. /var/log/auth.log: registros de autenticación.
  3. /var/log/ker.log: Registra el núcleo.
  4. /var/log/cron.log: Registros del crum de trabajos.
  5. / var / log / maillog: Registros de servidores de correo.
  6. / var / log / boot.log: Registros de la arranque del sistema.
  7. /var/log/mysqld.log: Registros para la base de datos MySQL.
  8. / var / log / seguro de autenticación de registros.
  9. / var / log / utmp o / var / log / wtmp: registros de inicio de sesión.
  10. /var/log/apache2/error.log: los registros de Apache.

usted También puede ver los archivos modificados durante las últimas 48 horas con el comando:

 Buscar. -MIME -1 -Print | Más 

Haz copias de seguridad regulares

En caso de problema, siempre es más agradable volver a un pie en dos clics que para rehacer todo desde cero.

detrás Regularmente sus archivos, su información útil, sus bases de datos, etc.

Consulte una lista de software especializado en la copia de seguridad (en inglés): http://en.wikipedia.org/ wiki / list_of_backup_software.

Utilice herramientas de seguridad

Puede usar los sistemas de detección de intrusos para detectar (y bloquear) automáticamente los atacantes.

Puede usar infraestructuras de seguridad como SELINUX para controlar el acceso a los elementos del sistema.

También puede usar frascos de miel para atrapar a los atacantes.

Elija contraseñas seguras

Una contraseña no es una contraseña si se llama «0123456». Por lo general, se recomienda elegir una contraseña larga con al menos una letra y un carácter especial.

Más información sobre las contraseñas aquí y allá

Mantener informado

Los programas y actualizaciones no hacen todo, especialmente no cuando le da su contraseña a su colega.

Manténgase en la búsqueda de la información de seguridad y esté listo para reaccionar.

Aquí hay varios recursos Para mantenerlo informado:

http://www.openwall.com/: Publicaciones y discusión en torno a la seguridad de los sistemas gratuitos.

https://www.owasp.org/ index.php: comunidad de seguridad informática.

http://security.stackexchange.com/: Informática de Foro de Base de conocimiento y Seguridad (en inglés).

http: // www. php.net/manual/en/security.php: PRINCIPOS DE SEGURIDAD PHP.

http: // Doc. Ubuntu-fr.org/Securite: Principios de seguridad para Ubuntu.

http: //www-desir.lip6.fr/~gonzales/teaching/systeme/cours6_poly.pdf: Sahaur Camiseta mínima bajo UNIX.

http://httpd.apache.org/docs/2.4/misc/security_tips.html: Principios de seguridad para Apache.

http: // www. Debian.org / DOC / Manuals / Securing-Debian-howto / index.fr.html: Principios de seguridad para Debian.

Puede, por supuesto, aprender el ataque para defenderlo mejor (piratería ética), en particular A través de distribuciones especializadas para las pruebas como el maldito vulnerable Linux.

Creación del sitio

A partir de ahora, creo que tiene un alojamiento dedicado o compartido, así como un nombre de dominio.

Necesitamos una base en nuestro sitio, e incluso si usted es un programador experimentado, recomiendo usar un sistema de administración de contenido.

También puede guiarlo para ofrecer creaciones de sitio web fáciles que apoyan directamente Nombres de dominio, direcciones de correo, redes sociales, referencias, etc…. muy convenientes para simplificar la tarea si comienza.

un sistema de gestión de la construcción HOLD (CMS en inglés para el sistema de gestión de contenido) es un conjunto de herramientas para publicar, editar y mantener el contenido al tiempo que se mejora y actualiza regularmente a través de una comunidad de desarrolladores.

Si no puede o no debe usar CMS, así que preste atención a las buenas prácticas de programación, vaya directamente a la siguiente parte de este artículo.

Elija un CMS es efectivo para tres razones principales:

  • Esto lo simplifica enormemente La vida evitando todo solo (que tardaría 10 años, literalmente).
    • La comunidad alrededor de CMS ofrece un TAS de características para su sitio, y también lo ayuda a resolver problemas.
    • La gran importancia se asigna a la seguridad: las actualizaciones de seguridad se publican regularmente.

    Hay, sin embargo, hay un lado de doble vanguardia, porque si Un pirata encuentra una falla en un sitio que tiene algunos N CMS, es probable que su sitio también contenga esta falla si usa este mismo CMS.

    Entre los CMS más populares, utilizo y recomiendo WordPress, lo que le permite crear prácticamente todos los tipos de Sitios posibles.

    es bastante orientado a los blogs, pero permite gracias a sus múltiples temas para crear versiones muy personalizadas de sitios web.

    Puede descargar directamente WordPress aquí: http: // en.wordpress.org /. «/ p>») Las etapas de instalación y la documentación están muy bien explicadas, ¡la famosa instalación se realiza en 5 minutos!

    (para los casos de alojamiento compartido, a menudo se propone Instale WordPress directamente desde la compra)

    Si ha instalado WordPress, le invito a leer el artículo: Asegurar su sitio WordPress. También puede leer cómo proteger su blog.

    Si usa otro CMS, lamentablemente no tendré la oportunidad de hacer una guía completa.

    Programa de forma segura

    Si admite que su servidor está protegido correctamente, así como su instalación de WordPress, queda por asegurarse de tener las mejores prácticas de seguridad de programación.

    Estas buenas prácticas. Incluyendo toda la prevención en el lado webware:

    • Prevención de explicaciones en JavaScript
    • Prevención de explicaciones sobre el Flaw XSS
    • Prevención de explicaciones sobre la falla CSRF
    • Explicaciones SQL Prevención de fallas
    • Explicaciones RFI PREVENCIÓN DE FALLES
    • Prevención de las explicaciones en el FAILLO LFI
    • Prevención de las explicaciones en los marcos de redirección de clickjacking
    • Explicaciones en Backdoor WordPress

    ¡Gare Gare!

    Los complementos es bueno, pero hay un, ¿pero!

    Estoy hablando de complementos para CMS que una vez instalados contienen defectos.

    Esto sucede con demasiada frecuencia porque los desarrolladores no están interesados ​​en la seguridad de sus complementos y no los actualizan. Regularmente.

    Hacer auditorías de seguridad

    Un sitio web seguro requiere muchas pruebas.

    Es posible realizar una auditoría de seguridad por profesionales para detectar las fallas posibles de un sitio o servidor y generar Una proporción con los medios de corrección.

    También puede escanear su propio sitio en busca de vulnerabilidades a través de escáneres como Nikto o Acunetix.

    ADVERTENCIA: nuevamente, no es legal escanear sitios que No te pertenezcan a usted.

    Consultar y auto-tren

    Es actos un elemento esencial porque la observación es la siguiente:

    Muchos ataques exitosos se deben a falla humana.

    Es, por lo tanto, esencial cuando quiere crear un sitio web Curídicos, para formar un mínimo de la seguridad de su sitio y su servidor.

    Esta autoaprendizaje es posible en particular a través de recursos en línea, incluidos los elementos que encontrará aquí.

    Desafortunadamente, no puedo explicar todo en los detalles en un artículo, dicho que publicaré el artículo según sea necesario, especialmente si tiene algo que agregar!

    Libro electrónico PDF 6 mitos en la piratería que el 90% de las personas todavía creen…

    Descubre cómo ¿Los hackers todos actúan genios? ¿Están en su entorno? Etc…

    Descargo mi guía gratuita ×

    ¿A qué dirección de correo electrónico le gustaría recibir la guía?

    Artículos similares

    ¿Qué tema de WordPress elige, ¿cómo optimizarlo y asegurarlo?

    Usted es muchos para preguntarme qué tema usar para su nuevo sitio web. Personalmente, utilizo un tema que se personaliza regularmente de acuerdo con la evolución de las aplicaciones web y visitantes. La plataforma de WordPress permite esta personalización y proporciona la estructura inicial del sitio. WordPress es muy popular,…

    Hacking y seguridad de los sitios de ventas en línea

    El artículo invitado y patrocinados cuando tiene un sitio comercial, o como regla general cuando una es una empresa, Hay dos principales riesgos de piratería. Los hackers atacan los datos de la empresa y sus empleados o a los de los consumidores. Para el…

    Mi sitio ha sido hackeado, ¿qué hacer?

    Tras una solicitud reciente de una asociación cuyo sitio ha sido hackeado, quiero hacer un artículo que lo hará Reúna algunos consejos para recuperar un sitio pirateado y protegerse en el futuro. Más tarde, supongo que usted tiene acceso al servidor para realizar las manipulaciones necesarias….

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *